Selbstsignierte SSL-Certs revoken?

11/12/2015 - 16:20 von Manuel Reimer | Report spam
Hallo,

gibt es einen Weg ein selbstsigniertes Zertifikat zu revoken?

Laut Wikipedia kann eine CA das für die von ihr erstellten Keys.

Beim selbstsignierten bin ich selber die CA.

Woran scheitert es, dann ein Zertifikat zu revoken. Kann mir da jemand
ein paar Hintergründe erklàren?

Danke im Voraus.

Gruß

Manuel
 

Lesen sie die antworten

#1 Michael Baeuerle
11/12/2015 - 16:56 | Warnen spam
Manuel Reimer wrote:

gibt es einen Weg ein selbstsigniertes Zertifikat zu revoken?

Laut Wikipedia kann eine CA das für die von ihr erstellten Keys.

Beim selbstsignierten bin ich selber die CA.

Woran scheitert es, dann ein Zertifikat zu revoken. Kann mir da jemand
ein paar Hintergründe erklàren?



Wenn du selbst eine CA betreibst, also mit dem root-Zertifikat deiner
CA ein anderes Zertifikat signiert hast, dann kannst du dieses wie
üblich zurückziehen (z.B. indem du eine CRL¹ erstellst in der es
aufgeführt ist, die wird dann auch mit dem root-Zertifikat deiner CA
signiert).

Der Kommunikationspartner muss diese CRL dann aber auch überprüfen,
sonst bleibt die Sache wirkungslos. Um dem Kommunikationspartner mitzu-
teilen, wo er die CRL herbekommt, kann man das in die Zertifikate rein-
schreiben. Das sieht dann so aus:
|
| X509v3 CRL Distribution Points:
|
| Full Name:
| URI:blablubb


Bei root-Zertifikaten ergibt sich ein Problem: Die könnte man zwar auch
in die CRL eintragen, aber die CRL müsste man dann mit dem zurückge-
zogenen Zertifikat signieren. Ob irgendeine Software diese Signatur (und
damit die gesamte CRL) dann noch als gültig betrachtet ist zumindest
fraglich.


_______________
¹ <https://en.wikipedia.org/wiki/Certi...n_list>

Ähnliche fragen